Konfiguration von TLS und Konformitätsmodus

Mit dieser Option erkennt Citrix Workspace sichere Verbindungen und verschlüsselt die Kommunikation im Server.

Die folgenden sicheren TLS-Verbindungen zwischen Citrix Workspace und XenApp und XenDesktop werden von Citrix unterstützt:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2

Die Werte für den Sicherheitskonformitätsmodus sind:
- FIPS: Durch Aktivieren des FIPS-Modus müssen das Windows-Betriebssystem und die Subsysteme FIPS-konforme kryptografische Algorithmen verwenden.
- Ohne: Kein Konformitätsmodus wird erzwungen.
- SP800-52: Einhaltung von NIST SP800-52r1 wird erzwungen.
Bei Auswahl von 'SP800-52' aus dem Dropdownmenü 'Sicherheitskonformitätsmodus' ist die folgende Richtlinie für die Zertifikatsperrüberprüfung zulässig:
- Volle Zugriffsprüfung und CRL erforderlich. Dies ist die Standardoption.
- Volle Zugriffsprüfung und alle CRL erforderlich

Unter 'Zulässige TLS-Server' können Sie mit einer durch Kommas getrennten Liste die Verbindungen von Citrix Workspace auf bestimmte Server beschränken. Es können Platzhalter und Portnummern angegeben werden, z. B. erlaubt *.citrix.com:4433 die Verbindung mit allen Servern, deren allgemeiner Name mit .citrix.com auf Port 4433 endet. Die Genauigkeit der Informationen in einem Sicherheitszertifikat wird durch den Aussteller des Zertifikats bestätigt. Wenn Citrix Workspace den Aussteller des Zertifikats nicht erkennt und ihm nicht vertraut, wird die Verbindung abgelehnt.

Die TLS-Version kann auf alle Kombinationen der folgenden Protokolle eingeschränkt werden:

- TLS 1.0, TLS 1.1 oder TLS 1.2
- TLS 1.1 oder TLS 1.2
- nur TLS 1.2

Ein TLS-Verschlüsselungssatz ist eine Gruppe von Verschlüsselungssammlungen, die vom Client zugelassen werden. Der TLS-Verschlüsselungssatz kann auf eine der folgenden Einstellungen festgelegt werden:
Hinweis: Die mit TLS_RSA_* beginnenden Verschlüsselungssammlungen können mit der Richtlinie 'Veraltete Verschlüsselungssammlungen' deaktiviert werden.
- Beliebig: Wenn 'Beliebig' eingestellt ist, sind die folgenden Verschlüsselungssammlungen standardmäßig erlaubt, wenn die Einstellung für den Konformitätsmodus auf 'Ohne' festgelegt ist:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Kommerziell: Bei Einstellung von 'Kommerziell' sind nur die folgenden Verschlüsselungssammlungen zulässig:
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Behörden: Bei Einstellung von 'Behörden' sind nur die folgenden Verschlüsselungssammlungen zulässig:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV


Die Zertifikatsperrüberprüfung verbessert die kryptografische Authentifizierung des Citrix Servers und die allgemeine Sicherheit der TLS-Verbindungen zwischen einem Client und einem Server.
Hinweis: Die Zertifikatsperrüberprüfung ist nur gültig, wenn der Sicherheitskonformitätsmodus SP800-52 eingestellt ist.
Wenn diese Einstellung aktiviert ist, prüft der Client, ob das Zertifikat des Servers widerrufen wurde. Es gibt mehrere Prüfstufen für die Zertifikatsperrliste. Der Client kann beispielsweise so konfiguriert werden, dass er nur die lokale Zertifikatsperrliste oder die lokale und die Netzwerkzertifikatsperrliste überprüft. Außerdem können Sie die Überprüfung der Zertifikate so konfigurieren, dass Benutzer sich nur anmelden können, wenn alle Zertifikatsperrlisten überprüft wurden.
Das Prüfen der Zertifikatsperrliste ist ein erweitertes Feature, das von einigen Zertifikatausstellern unterstützt wird. Der Administrator kann Sicherheitszertifikate widerrufen (d. h. vor dem Ablaufdatum ungültig machen), wenn der private Schlüssel des Zertifikats kryptografisch kompromittiert wurde.
Gültige Werte für diese Einstellung sind Folgende:

- Keine Prüfung: Es wird keine Überprüfung der Zertifikatsperrliste durchgeführt.
- Prüfung ohne Netzwerkzugriff: Die Zertifikatsperrliste wird überprüft. Es werden nur lokale Zertifikatsperrlistenspeicher verwendet. Alle Verteilungspunkte werden ignoriert. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Ziel-SSL-Relay bzw. Secure Gateway-Server vorgelegt wird, nicht wichtig.
- Volle Zugriffsprüfung: Die Zertifikatsperrliste wird überprüft. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn für ein Zertifikat Sperrinformationen gefunden werden, wird die Verbindung abgelehnt. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Zielserver vorgelegt wird, nicht wichtig.
- Volle Zugriffsprüfung und CRL erforderlich: Die Zertifikatsperrliste wird überprüft; die Stamm-ZS ist ausgeschlossen. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn für ein Zertifikat Sperrinformationen gefunden werden, wird die Verbindung abgelehnt. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.
- Volle Zugriffsprüfung und alle CRL erforderlich: Die Zertifikatsperrliste und die Stamm-ZS werden überprüft. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn für ein Zertifikat Sperrinformationen gefunden werden, wird die Verbindung abgelehnt. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.
Organisationen, die TLS für eine Reihe von Produkten konfigurieren, können Server, die für Citrix Workspace bestimmt sind, durch Angabe einer Zertifikatrichtlinienerweiterungs-OID als Teil des Sicherheitszertifikats identifizieren. Wenn hier eine Richtlinienerweiterungs-OID konfiguriert wird, akzeptiert Citrix Workspace nur Zertifikate, die eine kompatible Richtlinie deklarieren.

Bei Verbindungen über TLS kann die Konfiguration des Servers erfordern, dass Citrix Workspace sich durch ein Sicherheitszertifikat selbst identifiziert. Mit der Einstellung 'Clientauthentifizierung' können Sie festlegen, ob die Identifikation automatisch erfolgt oder ob der Benutzer benachrichtigt wird. Die folgenden Optionen sind verfügbar:

- Deaktiviert: Die Clientauthentifizierung ist deaktiviert
- Zertifikatauswähler anzeigen: Benutzer immer zum Auswählen eines Zertifikats auffordern
- Wenn möglich automatisch auswählen: Benutzer nur auffordern, wenn mehrere Zertifikate zur Auswahl stehen
Identifikation nie bereitstellen
- Nicht konfiguriert: Die Clientauthentifizierung ist nicht konfiguriert. Das Standardverhalten wird angewendet.
- Angegebenes Zertifikat verwenden: Das in der Einstellung angegebene Clientzertifikat verwenden

Geben Sie mit der Einstellung 'Clientzertifikat' den Fingerabdruck des identifizierenden Zertifikats an, damit Benutzer nicht unnötig aufgefordert werden.

Unterstützt auf: Alle von Receiver unterstützten Plattformen

TLS für alle Verbindungen verwenden
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
Sicherheitskonformitätsmodus


  1. Ohne
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52
  3. FIPS
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueFIPS

TLS-Version


  1. TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

TLS-Verschlüsselungssatz


  1. Beliebig
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. Behörden
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. Kommerziell
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

Richtlinie 'Zertifikatsperrüberprüfung'


  1. Keine Prüfung
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. Prüfung ohne Netzwerkzugriff
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. Volle Zugriffsprüfung
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. Volle Zugriffsprüfung und CRL erforderlich
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. Volle Zugriffsprüfung und alle CRL erforderlich
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

Clientauthentifizierung


  1. Nicht konfiguriert
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. Zertifikatauswähler anzeigen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. Deaktiviert
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. Angegebenes Zertifikat verwenden
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. Wenn möglich automatisch auswählen
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)